Der Lumma-Trojaner nutzt den Zugriff auf Browserdaten und ein undokumentiertes Google-Feature, um sich dauerhaft Zugriff auf Konten zu sichern.
War der eigene Computer mit Malware infiziert, ist eine der wichtigsten Verhaltensregeln, alle Passwörter zu ändern. Dass diese Maßnahme nicht immer ausreicht, um Bösewichte aus den eigenen Online-Konten auszusperren, beweisen neue Versionen verschiedener Malware-Varianten. Diese sind in der Lage, die verschlüsselten Login-Cookies für Google-Konten neu zu erzeugen, selbst wenn der Nutzer sein Google-Passwort zwischenzeitlich geändert hat.
Bereits im vergangenen November boten verschiedene Cybercrime-Gruppierungen ein neues Produktfeature für ihre Infostealer-Malware an. Diese auf Informationsbeschaffung spezialisierte Schadsoftware sammelt nach der Installation etwa Zugangsdaten und Login-Cookies ein. Mehrere Infostealer-Entwickler bewerben nun eine Funktion, die Login-Cookies erneuern und somit sogar Passwortänderungen wirkungslos machen solle.
Eine Analyse durch Sicherheitsforscher ergab, dass diese Behauptung offenbar kein Bluff ist: Über ein undokumentiertes Google-API (Application Programming Interface) kann die Malware gültige Cookies für geklaute Konten erstellen. Sie lädt über die Schnittstelle, die eigentlich zum Abgleich der Kontodaten über verschiedene Geräte hinweg gedacht ist, verschlüsselte Zugangs-Tokens herunter und entschlüsselt diese mithilfe von geklautem Schlüsselmaterial aus dem Browser des Opfers.
Selbst Passwortänderung hilft nicht
Da die verschlüsselten Authentifizierungs-Tokens nicht vom Google-Passwort des Nutzers abhängig sind, übersteht dieser Angriff auch eine Passwortänderung; so erhalten die Cyberkriminellen einen dauerhaften Zugang zu allen Google-Konten, in denen das Opfer zum Zeitpunkt der Infostealer-Attacke eingeloggt war.
Ob und wann Google diese Sicherheitslücke schließen wird, ist zur Stunde noch unklar. Auch ist nicht bekannt, ob Nutzer wirksame Gegenmaßnahmen ergreifen können. Da mittlerweile mehr als ein halbes Dutzend Malware-Varianten den Token-Trick nutzt, dürften die Entwickler des Suchmaschinengiganten jedoch hellhörig geworden sein.
Lücken in OAuth-Implementationen oder der Abgriff von OAuth-Tokens führen immer wieder zu Sicherheitsproblemen, so auch bei einem folgenschweren Angriff auf Github im Jahr 2022.